系统安全和备份方案Word格式文档下载.docx

1、加密的主要目的是提高信息和信息系统的机密性、 完整性和抗抵 赖性，即保证航空安全管理平台在进行处理时提供以下的保护： 数据的机密性保护当客户在网上传递敏感数据时，比如信用卡号码、金额等，就可 以通过安全套接层（ SSL），实现文件和信息的加密传递，为客户的机 密数据提供安全保障。保证信息传递完整性 开展电子交易的一大障碍即是如何保证电子版的文件不被对方 （或第三方）篡改，无论网上网下，在涉及双方责任权利义务的时候， 必然会出现责任书、章程、合同、协议等文件。可以通过证书对电子 版文件进行数字摘要和数字签名等技术处理， 保证了电子版文件的完 整性和不可抵赖性。1.1.1.2审计跟踪 审计跟踪是指

2、通过日志等手段对各类业务和系统操作进行记录 和跟踪的安全机制。审计跟踪工具主要功能应包括：应用层、系统层审计跟踪记录， 在应用层、系统层实现对必要信息的保留。对于需要进行审计跟踪的内容、 采用的保护措施、 保留的时间应 当提供灵活的定制功能， 以便对不同敏感特性的数据采取相应的审计 跟踪策略。在系统管理中所有系统中发生的操作， 都有相应的日志可以审计 跟踪。1.1.1.3PKI 体系PKI（Public Key Infrastructure 的缩写）即“公开密钥体系” 是一种遵循既定标准的密钥管理平台 , 它能够为所有网络应用提供加 密和数字签名等密码服务及所必需的密钥和证书管理体系。原有的单

3、密钥加密技术采用特定加密密钥加密数据，而解密时用 于解密的密钥与加密密钥相同， 这称之为对称型加密算法。 采用此加 密技术的理论基础的加密方法如果用于网络传输数据加密， 则不可避 免地出现安全漏洞。 因为在发送加密数据的同时， 也需要将密钥通过 网络传输通知接收者， 第三方在截获加密数据的同时， 只需再截取相 应密钥即可将数据解密使用或进行非法篡改。区别于原有的单密钥加密技术， PKI 采用非对称的加密算法，即 由原文加密成密文的密钥不同于由密文解密为原文的密钥， 以避免第 三方获取密钥后将密文解密。通常来说， CA是证书的签发机构 ,它是 PKI的核心。众所周知， 构建密码服务系统的核心内容

4、是如何实现密钥管理。 公钥体制涉及到 一对密钥（即私钥和公钥） ，私钥只由用户独立掌握，无须在网上传 输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，目前较好的解决方案是数字证书机制数字证书是公开密钥体系的一种密钥管理媒介。它是一种权威性 的电子文档， 形同网络计算环境中的一种身份证， 用于证明某一主体 （如人、服务器等）的身份以及其公开密钥的合法性，又称为数字 ID 。数字证书由一对密钥及用户信息等数据共同组成， 并写入一定的 存储介质内，确保用户信息不被非法读取及篡改。智能卡（ IC 卡）和电子钥匙 UKey具备便于携带、抗复制、低成 本及不易损坏等特征

5、， 是目前较为理想的证书存储介质。 还为它们配 备了一系列的功能组件，包括登录控制、文件加密、安全拨号等，实 现了较为全面的应用。PKI 使用方法现在，我们将讲述 PKI 加密/ 签名体系是如何实现数据安全传输 的。加密密钥对：发送者欲将加密数据发送给接收者，首先要获取接 收者的公开的公钥，并用此公钥加密要发送的数据，即可发送；接收 者在收到数据后，只需使用自己的私钥即可将数据解密。此过程中， 假如发送的数据被非法截获， 由于私钥并未上网传输， 非法用户将无 法将数据解密， 更无法对文件做任何修改， 从而确保了文件的机密性 和完整性。签名密钥对：此过程与加密过程的对应。接收者收到数据后，使 用

6、私钥对其签名并通过网络传输给发送者，发送者用公钥解开签名， 由于私钥具有唯一性， 可证实此签名信息确实为由接收者发出。 此过 程中，任何人都没有私钥， 因此无法伪造接收方的的签名或对其作任 何形式的篡改，从而达到数据真实性和不可抵赖性的要求。PKI 的基本组成完整的 PKI 系统必须具有权威认证机关 （CA） 、数字证书库、密钥 备份及恢复系统、证书作废系统、应用接口等基本构成部分 ,构建 PKI 也将围绕着这五大系统来着手构建。认证机关（ CA）：即数字证书的申请及签发机关， CA 必须具备 权威性的特征；数字证书库：用于存储已签发的数字证书及公钥，用户可由此 获得所需的其他用户的证书及公钥

7、；密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥 , 则数据将无法被解密 ,这将造成合法数据丢失。 为避免这种情 况的 ,PKI 提供备份与恢复密钥的机制。但须注意，密钥的备 份与恢复必须由可信的机构来完成。并且，密钥备份与恢复 只能针对解密密钥，签名私钥为确保其唯一性而不能够作备 份。证书作废系统：证书作废处理系统是 PKI 的一个必备的组件。 与日常生活中的各种身份证件一样 , 证书有效期以内也可能 需要作废，原因可能是密钥介质丢失或用户身份变更等。为 实现这一点 ,PKI 必须提供作废证书的一系列机制。应用接口： PKI 的价值在于使用户能够方便地使用加密、数字 签名等安全服务，因

8、此一个完整的 PKI 必须提供良好的应用 接口系统，使得各种各样的应用能够以安全、一致、可信的 方式与 PKI 交互，确保安全网络环境的完整性和易用性。1.1.2系 统网络安全所处网络环境复杂，因此网络安全对于整个标准化系统的正常运 行显得尤为重要。建议采用主动被动相结合的方式来保护网络安全。安全操作系统安全的操作系统是安全保障体系中不可缺少的部分。特别是在重 要服务器中， 应该依据信息的内容进行分级保护， 采用安全性高的操 作系统。关键主机系统加固操作系统作为计算机系统的基础软件是用来管理计算机资源的， 它直接利用计算机硬件并为用户提供使用和编程接口。 各种应用软件 均建立在操作系统提供的系

9、统软件平台之上， 上层的应用软件要想获 得运行的高可靠性和信息的完整性、 保密性， 必须依赖于操作系统提 供的系统软件基础。 在网络环境中， 网络系统的安全性依赖于网络中 各主机系统的安全性， 而主机系统的安全性正是由其操作系统的安全 性所决定的，没有安全的操作系统的支持， 网络安全也毫无根基可言。所以，操作系统安全是计算机网络系统安全的基础。而服务器及 其上的业务数据又是被攻击的最终目标。因此，部署安全产品，加强 对关键服务器的安全控制，是增强系统总体安全性和核心一环。通常，因为客户的应用和需求不同，默认安装的 Unix 操作系统 没有使用 Unix 系统本身的很多安全机制，这样的默认配置是

10、不够安 全的。但是使用这些安全机制需要和应用系统的要求相吻合， 否则会 影响应用系统的正常运行。由于操作系统本身设计的原因，他的安全机制和应用系统的实际 需求具有很大的差距。 例如，超级用户的存在是主机安全的重要威胁， 超级用户的口令是不法分子梦寐以求的钥匙。 因此，为了提高系统主 机的安全性，必须采用有效的安全机制来满足用户的实际安全需求。首先应该对日常的业务流程进行细致的分析，区分不同的人员具 有的不同权限。 在这一过程中要遵循应该有的权限一个也不能少， 不 该有的权限一个也不能多的原则。同时限制超级用户的口令，将它的权限分给不同的人来管理，改 变超级用户权限过大的状况， 这样既提高了系统

11、的安全， 又能免除原 来计算机维护人员的嫌疑，减轻了工作中承担的责任压力。根据系统的实际情况，列出应该保护的重要文件和目录，进行特 别的保护，只给相关的人员赋予相应的访问权限。建议在核心服务器（数据库服务器，应用服务器等）上实施主机 安全服务。基于主机的入侵检测系统 基于主机的入侵检测系统保留了一种有力的工具，以理解以前的 攻击形式，并选择合适的方法去抵御未来的攻击。 基于主机的 IDS 使 用验证记录， 自动化程度大大提高， 并发展了精密的可迅速做出响应 的检测技术。通常，基于主机的 IDS可监探系统、事件和 Window NT 下的安全记录以及 UNIX 环境下的系统记录。当有文件发生变化

12、时， IDS将新的记录条目与攻击标记相比较， 看它们是否匹配。 如果匹配， 系统就会向管理员报警并向别的目标报告，以采取措施。基于主机的 IDS 通过定期检查校验关键系统文件和可执行文件， 来进行系统级的入侵检测， 用以发现意外的变化。 该方式反应的快慢 与轮询间隔的频率有直接的关系。 同时，基于主机的 IDS 一直监听端 口的活动， 并在特定端口被访问时向管理员报警。 这类检测方法将基 于网络的入侵检测的基本方法融入到基于主机的检测环境中。漏洞扫描系统漏洞扫描能对网络中设备进行自动的安全漏洞检测和分析，模拟 漏洞分析专家及安全专家的技术， 提供基于策略的安全风险管理。 它 可以在任何基于 T

13、CP/IP 的网络上应用，我们采用目前主流的漏洞扫 描系统对网络及各种系统进行定期或不定期的扫描监测， 并向安全管 理员提供系统最新的漏洞报告， 使管理员能够随时了解网络系统当前 存在的漏洞并及时采取相应的措施进行修补。防病毒系统防病毒主要包括管理和技术两方面。 管理方面：管理上应制定一套有关的规章制度，从日常管理上堵 住病毒流入和导出的途径。技术方面：安全管理信息系统平台涉及面广，各种应用服务器操 作系统并存， 系统运行中一般不允许中断的特点。 建议采用在两个不 同网络信任域接入路由器的网络联接处，设置高速防病毒过滤网关； 为中央网管中心的邮件系统设置专门的高速硬件邮件防病毒网关； 为 中央

14、网管中心和各接入局域网配置网络防病毒软件相结合的方式， 及 时将病毒清除或者阻断。 同时，应该在网管中心设置一个防病毒主控 制中心，在各地设置防病毒控制分中心。 根据病毒和恶意代码的最新 发展动态， 及时通过各地的防病毒控制分中心， 进行统一的病毒特征 码的自动升级和防毒策略的统一制订和修改。 为了使这三部分的防病 毒设备和软件达到最佳的结合效果，应具备以下特点：能对全网的防病毒设备和软件进行统一的病毒特征码的升级。 基于策略的中央控制分级管理模式，策略以从上至下的方式执 行。资源占用低，性能优越。自动适用增量升级方式。支持跨平台的统一控制台管理。 安装、升级后无需重新启动计算机系统。 对自身

15、的通讯加密及对病毒的免疫防护功能。同时，在内部还应建立一支应急响应和技术支持队伍， 及时有效 地对重大突发事件做出响应。1.1.3日 志监控系统应提供日志和工具，定期监控（审查）系统平台，包括：事 件日志、 WEB服务日志、安全配置和分析。为保证访问权限根据站点 策略只可用于有授权的人，必须定期审查管理员、组和服务帐户。1.2备份恢复服务1.2.1 备 份备份是最普遍的用于保证数据可用性的方法。 在进行备份时要考 虑到以下几个因素： 设备的协同工作能力， 存储的容量，介质的寿命， 所选用的备份软件。 目前主要可以采用的手段有：磁盘、磁带驱动器、大容量移动存储介 质、 CD盘、网络备份（包括使用

16、网络存储设备和网络磁盘） 、复制和 同步以及 INTERNET在线备份。同时还有一种特殊的备份方式镜像。 通过该种备份方式可以 将计算机中所安装的系统、应用软件和相关设置存储成一个镜像文 件，以便以后能完整恢复数据、系统和相关的设置。对于镜像备份的 恢复会将计算机完全恢复成镜像的情况， 因此镜像备份对于恢复大量 的标准化配置的计算机方面有一定的优势。另外，还有一种备份的辅助手段远程日志备份， 该技术通过将对 数据的各种操作的日志记录通过网络通讯线路远程的备份到异地的 存储设备上， 一旦发生故障， 可以通过存储在远程的日志信息对数据 进行恢复处理。对于服务器的备份相比终端要更为频繁。 通常情况下

17、对于服务器的备 份可以采用以下几种手段：完全备份：对于服务器上所有的数据和文件进行备份 增量备份：只备份自从上次备份以来创建的或是经过修改的文件差异备份：只备份自从上次完全备份以来创建的或是经过修改 的文件当然在具体使用时可以考虑多种备份手段结合起来使用， 每种手 段使用的频率各不相同。 同时，在使用备份技术时还应当考虑以下安 全相关问题：备份媒介的选择， 明确应当尽量采用存储时间长的存储介质， 或者采 用两种以上的存储介质对重要数据进行保存， 以防止由于存储介质失 效而导致的数据丢失。备份介质存放地点的选择， 对于备份介质的存放地点应当尽量保存在 一个安全的环境中。 以防止由于一些环境因素造

18、成存储介质的提前实 效或损坏。同时，对于一些存储了非常重要信息的介质可以考虑采用 异地保存的方式， 就是将该数据的另一个副本存储在地理上不同的地 域。以防止由于意外事故造成的数据丢失。鼓励个人用户对其电脑上的重要数据进行备份， 具体采用的备份介质 和备份方式可以由用户自行选择。 可以让用户自发的将重要数据进行 备份。尽量采用标准化的硬件、 软件和周边设备， 从而加快系统的备份 和恢复。对于各类系统或硬件的设置和相关厂商信息进行有效的备份 保护。这样也可以在系统一旦出现问题后，加快系统恢复的进程。对重要的信息或系统的备份建立有效的备份策略和备份管理机制。确保安全等级不同的各类信息或系统都得到了有

19、效的恰当的备份 保护。在确定备份的指导思想和备份方案之后， 就要选择安全的存储媒介和 技术进行数据备份，有“冷备份”和“热备份”两种。 热备份是指 “在线”的备份，即下载备份的数据还在整个计算机系统和网络中， 只不过传到另一个非工作的分区或是另一个非实时处理的业务系统 中存放。冷备份是指“不在线”的备份，下载的备份存放到安全的存 储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有 直接联系， 在系统恢复时重新安装， 有一部分原始的数据长期保存并 作为查询使用。热备份的优点是投资大，但调用快，使用方便，在系 统恢复中需要反复调试时更显优势。冷备份弥补了热备份的一些不 足，二者优势互补，

20、相辅相成，因为冷备份在回避风险中还具有便于 保管的特殊优点。在本项目中，我们可以考虑使用全盘备份和增量备份结合的方 式，考虑到数据库数据量有快速增长的趋势， 建议每周做一次全备份， 每天做一次增量备份。 考虑到备份和恢复的复杂程度和数据的重要程 度，我们考虑可采用冷备和热备结合的方式。 在作全备份的时候使用 冷备份方式， 管理员必须关闭数据库。 平时的增量备份则可以在数据 库在线的情况下进行（即热备） 。实现方式可使用专用备份服务器结 合备份软件，将数据通过磁带机备份到磁盘即可。建议业务管理系统数据备份应通过一台专门的备份服务器， 利用 专业的备份软件按照所制定的正确的备份策略将数据备份到磁带

21、机的磁带中。同时恢复数据也通过此套系统及时快速的进行数据恢复。此方案所涉及设备如下： （以 IBM设备为例）No.项目配置数量1备份服务器IBM System X3250 ：Intel PD , 2GB, 2 160GB, SATA2磁带库IBM TS3100（22 个磁带槽位 ,10 数 据带 ,1 清洁带）3备份软Galaxy （备份服务器端、介质管理 器、 SQL数据库热备模块、 Oracle 数据库热备模块、 Domino热备模块、 Winodws文件系统备份模块）当备份系统建立起来后，我们需要对此套备份系统所产生的磁带 进行合理规划和管理。建议的 IT 管理人员将每周和每月的全备份磁

22、 带安全的，妥善的保存。总体上说，备份机制的灾难恢复时间较长，也存在一定的数据恢 复失败的风险。 尽管大多数情况下用户原有数据没有丢失， 但是当本 地应用出问题时，业务会被迫中断。但这种级别的方案花费较低，构 建简单。在本次的备份方案中，我们建议采用 CommVault Systems 公司的 备份软件产品 QiNetix 平台并结合 IBM TS3100 带库来对我们的数据 进行有效的备份保护。CommVault Systems是 1996年从 AT&T贝尔实验室分立出来发展 成独立的软件公司，致力于备份和恢复性能的创新。 2000 年，公司 发表了旗舰产品： CommVault Galax

23、y?备份和恢复软件，该软件 4 次 荣获存储业界的嘉奖。自 2000 年， CommVault Systems 与全球顶级 的软件和硬件厂商建立了稳固的联盟来增强软件的功能并创造了杰 出的数据管理方案组件， 这些厂商包括：DELL、EMC、HP、HDS、Microsoft 和 Network Appliance 等等。在 2002 年， CommVault发表了 QiNetix 平台来提供统一的数据管理。 QiNetix 对 Galaxy 稳健的数据保护和 通用技术平台作了新的扩展，创造性地实现了交互和集成的解决方 案。这样，数据备份和恢复、数据迁移、数据可用性、存储资源管理 和存储架构管理被

24、有机地结合在一起。 QiNetix 在极大地扩展了现有 功能的同时， 确保了异构企业环境中的文件、 关键业务应用程序和当 今被广泛使用的数据库的可靠性和快速恢复。至今， QiNetix 软件被 安装在许多全球 2000 强企业中。1.2.2冗 余虽然各类备份技术可以保证当信息丢失或系统出现故障之后， 可 以通过预先设置的备份机制有效的及时地将原有的信息或系统加以 恢复。但无法很好的解决在数据丢失损坏过程中对数据或系统实时的 保护。因此，备份策略需要通过冗余机制加以辅助，从而在灾害或事 故发生的过程中对数据或系统进行实时的保护。 目前主要的冗余技术 和安全机制主要有四类：RAID技术RAID 为

25、数据的存储提供了冗余和容错的功能。 RAID 主要用于保 护磁盘驱动器和磁盘控制器出错的情况。此外， RAID 还通过将数据 存储在多个磁盘驱动器上增进了系统的性能和可靠性。 RAID 可以通 过软件或是硬件手段来实现， 无论采用哪一种方法， 对于操作系统来 说都只有一个逻辑上的硬件驱动器。负载均衡技术该种技术可以提高系统的可用性。 通过负载均衡技术， 使用了一 组服务器或网路设备将对系统或应用的访问流量动态的分配到不同 的设备上。从而确保某一台设备不会因为负载过重而瘫痪。双机热备技术 使用两台相同的设备，一台作为主设备，一台作为辅助设备。在 系统运行过程中主设备工作， 辅助设备在正常状况下不

26、工作， 而通过 一定的技术机制持续的监控主设备的状态， 一旦主设备发生故障， 立 即对其进行替换。网络冗余 在网络冗余方面可以采用的方法主要包括通讯链路冗余， 网络服 务供应商冗余和网络连接设备冗余。1.2.3容 错容错技术是指当计算机软硬件系统由于器件老化、 错误输入、 外 部环境影响及原始设计错误等等因素产生异常行为时维持系统正常 工作的技术总和。 通俗地讲， 它是使系统在发生故障时乃能持续运行的技术。容错技术主要包括故障诊断、故障屏蔽和功能转移等内容。故障诊断是指系统中能够正常工作的部分通过一定方法测试其他部分能 否正常工作。故障隔离 是指诊断出系统中一些部分已不能正常工作后将这些部分从

27、系 统中剔除出去。通常，如果系统的某些部分发生故障，并不总是能够 通过剔除故障部分达到容错。 只有在剔除了这些部分后系统剩余部分 仍能正常工作，才可以使用这种方法实现容错。功能转移是指诊断出系统中一些部分已不能正常工作后， 将原本应由这些 部分完成的工作自动转移到其他正常的部分上去。 实际上，一些商用 容错计算机是通过为系统的关键部件设置冗余备份、 并在发生故障时 通过自动功能隔离和自动功能转移使系统不间断地工作。1.2.4不 间断电源保护系统和数据会因为供电问题而造成损失。 对于计算机系统， 可以 采用双电源同时供电的方法， 以保证一个电源过热烧毁或发生故障时 另一个电源依然能够维护系统的运行。同时为了防止突然断电的情 况，可以使用 UPS来进行保护。通常情况下 UPS在断电后能够保证 30-60 分钟的持续供电以确保系统能够正常关闭。对于双电源供电和 UPS的使用也需要从经济合理性角度进行考虑。